最新发现，Steam商店中一款名为PirateFi的免费游戏一直在向用户传播Vidar信息窃取恶意软件。

在2月6日至2月12日期间，这款游戏在Steam目录中出现了近一周的时间，并被多达1500名用户下载。分发服务正在向可能受到影响的用户发送通知，建议他们重新安装Windows。

Steam上的恶意软件

上周，Seaworth Interactive在Steam上发布了《PirateFi》，并获得了积极评价。它被描述为一款以低多边形世界为背景的生存游戏，涉及基地建设、武器制作和食物收集。

PirateFi的Steam页面

本周，Steam发现这款游戏含有恶意软件，但并未指明具体类型。通知中写道：“这款游戏开发者的Steam账户上传了包含可疑恶意软件的构建。”

用户在Steam上玩PirateFi（3476470）时，这些构建是活跃的，所以这些恶意文件很可能在用户的计算机上启动。Steam建议用户使用最新的防病毒软件运行完整的系统扫描，检查他们不认识的新安装的软件，并考虑操作系统格式。

Steam对受影响用户的通知

受影响的用户还在游戏的Steam社区页面上发布了安全提醒，通知其他人不要启动该游戏，因为他们的杀毒软件将其识别为恶意软件。

SECUINFRA Falcon Team的Marius Genheimer获得了通过PirateFi传播的恶意软件样本，并将其识别为Vidar伪造软件的一个版本。

SECUINFRA建议：“如果你是下载这个“游戏”的玩家之一，考虑保存在浏览器、电子邮件客户端、加密货币钱包等中的凭据、会话cookie和秘密被泄露。”建议用户更改所有可能受影响帐户的密码，并在可能的情况下激活多因素身份验证保护。

基于动态分析和YARA签名匹配，该恶意软件被识别为Vidar，隐藏在一个名为Pirate.exe的文件中，作为有效载荷（Howard.exe），与InnoSetup安装程序打包在一起。

攻击者多次修改游戏文件，使用各种混淆技术，并更改命令和控制服务器以获取凭据。研究人员认为，PirateFi名称中提到的web3/ b区块链/加密货币是有意为之，目的是吸引特定的玩家群体。

Steam并没有公布有多少用户受到了PirateFi恶意软件的影响，但游戏页面上的统计数据显示，可能有多达1500人受到了影响。

恶意软件渗透Steam商店并不常见，但也不是没有先例。在2023年2月，Steam用户受到了恶意Dota 2游戏模式的攻击，该模式利用Chrome n-day漏洞在玩家的计算机上执行远程代码执行。

2023年12月，当时很受欢迎的独立策略游戏《Slay the Spire》的一个mod被黑客入侵，黑客将“Epsilon”信息传输器注入其中。

目前Steam已经引入了其他措施，如开启短信验证等，以保护玩家免受未经授权的恶意更新，但PirateFi的案例表明，目前这些措施还远远不够。

参考及来源：https://www.bleepingcomputer.com/news/security/piratefi-game-on-steam-caught-installing-password-stealing-malware/